﻿<HTML><HEAD><TITLE>MSF for Agile Software Development</TITLE>
<META http-equiv=Content-Type content="text/html; charset=UTF-8"><LINK href="css\msf.css" type=text/css rel=stylesheet>
<SCRIPT language=JavaScript src="CODE\header.js"></SCRIPT>

<SCRIPT language=JavaScript src="CODE\leftnav.js"></SCRIPT>

<SCRIPT language=JavaScript src="CODE\footer.js"></SCRIPT>

<SCRIPT language=JavaScript src="CODE\msf.js"></SCRIPT>
</HEAD>
<BODY onload=javascript:setCheckboxValue();initOverviewCookie(); marginheight="0" marginwidth="0"><!-- start header -->
<TABLE class=idheader height=70 cellSpacing=0 cellPadding=0 width="100%" bgColor=#cedcf5 border=0>
<TBODY>
<TR>
<TD width=*><IMG height=70 alt="MSF for Agile Software Development" src="images/header_agile.gif" width=400></TD>
<TD width=115><IMG height=70 alt="Visual Studio 2005 Team System-Logo" src="images/header_vsts_logo.gif" width=137></TD></TR>
<TR bgColor=#5373ad height=1>
<TD colSpan=2><IMG height=1 src="images/clear.gif" width=1></TD></TR></TBODY></TABLE><!-- end  header --><!-- start breadcrumbs and tabs -->
<TABLE class=tabrow height=28 cellSpacing=0 cellPadding=0 width="100%" border=0>
<TBODY>
<TR>
<TD width=164><IMG height=1 src="images/clear.gif" width=164></TD>
<TD class=bottom>
<DIV id=TabsHTML style="MARGIN: 0pt">
<TABLE cellSpacing=0 cellPadding=0 width="100%" border=0 xmlns:msxsl="urn:schemas-microsoft-com:xslt" xmlns:some-prefix="some-uri" xmlns:msxml="urn:schemas-microsoft-com:xslt" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:my="http://schemas.microsoft.com/office/infopath/2003/myXSD/2004-10-13T22:49:49" xmlns:mstns="http://tempuri.org/XMLSchema.xsd">
<TBODY>
<TR>
<TD class=taboff noWrap width=90><A class=taboff  href="Concepts.htm">&Uuml;bersicht</A></TD>
<TD width=6><IMG src="images/clear.gif"></TD>
<TD class=tabon noWrap width=90><A class=tabon  href="AboutRoles.htm">Rollen</A></TD>
<TD width=6><IMG src="images/clear.gif"></TD>
<TD class=taboff noWrap width=90><A class=taboff  href="AboutWorkItems.htm">Arbeitsaufgaben</A></TD>
<TD width=6><IMG src="images/clear.gif"></TD>
<TD class=taboff noWrap width=90><A class=taboff  href="AboutViews.htm">Ansichten</A></TD>
<TD width=6><IMG src="images/clear.gif"></TD>
<TD class=taboff noWrap width=90><A class=taboff  href="WorkStreamsIndex.htm">Index</A></TD>
<TD width=6><IMG src="images/clear.gif"></TD>
<TD align=right width=*>
<DIV style="MARGIN-TOP: 3pt">
<P class=p1a><A onclick='javascript:open_window1("glossary.htm")' href="#">Glossar</A></P></DIV></TD>
<TD width=38><IMG src="images/clear.gif"></TD></TR></TBODY></TABLE></DIV><!-- end tabs --></TD></TR></TBODY></TABLE><!-- end breadcrumbs and tabs --><!-- start main body table-->
<TABLE class=bodytable cellSpacing=0 cellPadding=0 width="100%" border=0>
<TBODY>
<TR><!-- start left column with navigation -->
<TD width=140>
<DIV id=leftside>
<DIV id=sidemenuHTML>
<DIV style="MARGIN: 6px 0px 5px 20px" xmlns:msxsl="urn:schemas-microsoft-com:xslt" xmlns:some-prefix="some-uri" xmlns:msxml="urn:schemas-microsoft-com:xslt" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:my="http://schemas.microsoft.com/office/infopath/2003/myXSD/2004-10-13T22:49:49" xmlns:mstns="http://tempuri.org/XMLSchema.xsd">
<P class=p1a><A class=nav onclick="javascript:doPortal('click')" href="#">Projektportal<IMG height=9 alt="Verkn&uuml;pfungspfeil" src="images/right-arrow.gif" width=9 border=0></A></P></DIV>
<TABLE cellSpacing=0 cellPadding=0 width=140 border=0 xmlns:msxsl="urn:schemas-microsoft-com:xslt" xmlns:some-prefix="some-uri" xmlns:msxml="urn:schemas-microsoft-com:xslt" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:my="http://schemas.microsoft.com/office/infopath/2003/myXSD/2004-10-13T22:49:49" xmlns:mstns="http://tempuri.org/XMLSchema.xsd">
<TBODY>
<TR>
<TD width=12><IMG height=12 src="images/b_nav_topleft.gif" width=12></TD>
<TD class=leftnavtop><IMG src="images/clear.gif"></TD>
<TD width=1 background=images/dots.gif rowSpan=3><IMG src="images/dots.gif"></TD></TR>
<TR>
<TD background=images/b_nav_left.gif><IMG src="images/b_nav_left.gif">
<TD class=leftnavtable>
<TABLE cellSpacing=0 cellPadding=0 width="100%" border=0>
<TBODY>
<TR>
<TD class=nav-off><A class=nav  href="AboutRoles.htm">Informationen &uuml;ber Rollen</A></TD></TR>
<TR>
<TD class=nav-off><A class=nav  href="BusinessAnalyst.htm">Wirtschaftsanalytiker</A></TD></TR>
<TR>
<TD class=nav-off><A class=nav  href="ProjectManager.htm">Projektmanager</A></TD></TR>
<TR>
<TD class=nav-select><A class=nav  href="Architect.htm">Architekt</A></TD></TR>
<TR>
<TD class=nav-off><A class=nav  href="Developer.htm">Entwickler</A></TD></TR>
<TR>
<TD class=nav-off><A class=nav  href="Tester.htm">Tester</A></TD></TR>
<TR>
<TD class=nav-off><A class=nav  href="ReleaseManager.htm">Versionsmanager</A></TD></TR></TBODY></TABLE></TD></TR>
<TR>
<TD><IMG src="images/b_nav_bottomleft.gif"></TD>
<TD class=leftnavbottom><IMG src="images/clear.gif"></TD></TR></TBODY></TABLE></DIV><!-- start left column see also area -->
<DIV id=SeeAlsoHTML>
<TABLE class=seealso cellSpacing=0 cellPadding=0 width=134 border=0 xmlns:msxsl="urn:schemas-microsoft-com:xslt" xmlns:some-prefix="some-uri" xmlns:msxml="urn:schemas-microsoft-com:xslt" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:my="http://schemas.microsoft.com/office/infopath/2003/myXSD/2004-10-13T22:49:49" xmlns:mstns="http://tempuri.org/XMLSchema.xsd">
<TBODY>
<TR>
<TD width=13><IMG src="images/b_see_topleft.gif"></TD>
<TD class=seealso_top><IMG src="images/clear.gif"></TD>
<TD width=13><IMG src="images/b_see_topright.gif"></TD></TR>
<TR>
<TD background=images/b_see_left.gif><IMG src="images/b_see_left.gif"></TD>
<TD class=seealso>
<H3><B>N&auml;chste Schritte</B></H3>
<P class=p1b><A  href="ImplementaDevelopmentTask.htm">Implementieren einer Entwicklungsaufgabe</A></P>
<P class=p1b><A  href="WriteSecurityTests.htm">Schreiben von Sicherheitstests</A></P></TD>
<TD background=images/b_see_right.gif><IMG src="images/b_see_right.gif"></TD></TR>
<TR>
<TD background=images/b_see_left.gif><IMG src="images/b_see_left.gif"></TD>
<TD class=seealso>
<H3><B>Muster &amp; Vorgehensweisen</B></H3>
<P class=p1b><A onclick='javascript:open_window2("http://go.microsoft.com/fwlink/?LinkId=41072");' href="#">Erstellen von Bedrohungsmodellen</A></P>
<P class=p1b><A onclick='javascript:open_window2("http://go.microsoft.com/fwlink/?LinkId=47742");' href="#">Bedrohungsmodelle f&uuml;r Webanwendungen</A></P></TD>
<TD background=images/b_see_right.gif><IMG src="images/b_see_right.gif"></TD></TR>
<TR>
<TD background=images/b_see_left.gif><IMG src="images/b_see_left.gif"></TD>
<TD class=seealso>
<H3><B>Arbeitsprodukte &ndash; Word</B></H3>
<P class=p1b><A  href="ThreatModel.htm">Bedrohungsmodell</A></P></TD>
<TD background=images/b_see_right.gif><IMG src="images/b_see_right.gif"></TD></TR>
<TR>
<TD background=images/b_see_left.gif><IMG src="images/b_see_left.gif"></TD>
<TD class=seealso>
<H3><B>Arbeitsprodukte &ndash; Visual Studio</B></H3>
<P class=p1b><A  href="LogicalDatacenterDiagram.htm">Diagramm f&uuml;r logisches Datencenter</A></P></TD>
<TD background=images/b_see_right.gif><IMG src="images/b_see_right.gif"></TD></TR>
<TR>
<TD><IMG src="images/b_see_bottomleft.gif"></TD>
<TD class=seealso_bottom><IMG src="images/clear.gif"></TD>
<TD><IMG src="images/b_see_bottomright.gif"></TD></TR></TBODY></TABLE></DIV><!-- end left column see also area --></DIV></TD><!-- end left column with navigation --><!-- start center content area -->
<TD>
<TABLE cellSpacing=0 cellPadding=0 width="100%" border=0>
<TBODY>
<TR>
<TD><IMG src="images/b_topleft.gif"></TD>
<TD background=images/b_top.gif><IMG height=15 src="images/b_top.gif" width=300></TD>
<TD><IMG src="images/b_topright.gif"></TD></TR>
<TR>
<TD background=images/b_left.gif><IMG src="images/b_left.gif"></TD><!-- Start XSL3 -->
<TD id=XSL3 width="100%" bgColor=#ffffff>
<DIV style="HEIGHT: 280pt" xmlns:msxml="urn:schemas-microsoft-com:xslt" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:my="http://schemas.microsoft.com/office/infopath/2003/myXSD/2004-10-13T22:49:49" xmlns:mstns="http://tempuri.org/XMLSchema.xsd">
<P class=title3>Aktivit&auml;t:</P>
<P class=title2>Entwickeln des Bedrohungsmodells</P>
<DIV style="MARGIN-TOP: 12px">
<TABLE id=Table1 cellSpacing=0 cellPadding=0 border=0>
<TBODY>
<TR>
<TD><IMG class=small_icons height=35 alt="Rollensymbol" src="images/i_role_2.gif" width=35></TD>
<TD><IMG height=1 src="images/clear.gif" width=8></TD>
<TD>
<TABLE>
<TBODY>
<TR>
<TD class=p1c><A  href="Architect.htm">Architekt</A></TD></TR></TBODY></TABLE></TD>
<TD><IMG height=1 src="images/clear.gif" width=20></TD>
<TD><IMG class=small_icons height=35 alt="Rollensymbol" src="images/i_workstreams_2.gif" width=35></TD>
<TD><IMG height=1 src="images/clear.gif" width=8></TD>
<TD>
<P class=p1c><A  href="CreateSolutionArchitecture.htm">Erstellen der L&ouml;sungsarchitektur</A></P></TD>
<TD><IMG height=1 src="images/clear.gif" width=20></TD>
<TD><IMG height=1 src="images/clear.gif" width=14></TD></TR></TBODY></TABLE></DIV>
<DIV class=raci>
<TABLE cellSpacing=0 cellPadding=0 border=0>
<TBODY>
<TR>
<TD width=2 bgColor=#5f7cb0><IMG src="images/clear.gif"></TD>
<TD width=4><IMG src="images/clear.gif"></TD>
<TD>
<P class=h7>Teilnehmende Rollen</P>
<P class=p1b>Verantwortlich:</P>
<P class=p1a><STRONG>Architekt</STRONG></P></TD></TR></TBODY></TABLE></DIV>
<H3><A onclick="doExpand(overview11, expand); toggleOverviewOn(overview11);" href="#"><IMG src="images/expando_closed.gif" border=0 name=expand> &Uuml;bersicht </A></H3>
<DIV id=overview11 style="DISPLAY: none; MARGIN: 0px 0px 0px 15px">
<P class=p1>In einem Bedrohungsmodell sind die bekannten Sicherheitsl&uuml;cken und der Umgang mit ihnen dokumentiert. Die Erstellung eines Bedrohungsmodells ist Bestandteil einer strukturierten Methode zur Identifizierung und Einstufung von voraussichtlichen Gefahren. Ein zuverl&auml;ssiges Bedrohungsmodell hilft dabei, Gefahren entsprechend ihrer Risikostufe mit den richtigen Gegenma&szlig;nahmen entgegenzuwirken. Erstellen Sie Bedrohungsmodelle fr&uuml;hzeitig, und bringen Sie sie mit der Weiterentwicklung des Systems und der L&ouml;sungsarchitekturen immer auf den aktuellen Stand. &Uuml;berpr&uuml;fen Sie die Bedrohungen gemeinsam mit dem Wirtschaftsanalytiker, um Sicherheitsanforderungen aufzustellen.</P></DIV>
<H1>Einstiegskriterien</H1>
<UL class=bodyitem_unit></UL>
<P class=p1><B>Wenn:</B></P>
<UL class=bodyitem_unit>
<LI class=bodyitem>Neue Sicherheitsziele oder -szenarien mit Bezug auf bereits vorhandene Sicherheitsziele werden laut Zeitplan in der n&auml;chsten Iteration implementiert.</LI></UL>
<P class=p1><B>Abh&auml;ngigkeiten:</B></P>
<UL class=bodyitem_unit>
<LI class=bodyitem>Das Diagramm f&uuml;r ein logisches Datencenter ist auf dem aktuellen Stand.</LI></UL>
<H1>Unteraktivit&auml;ten</H1>
<TABLE cellSpacing=0 cellPadding=3 width="100%" border=0>
<TBODY>
<TR>
<TD colSpan=3><IMG height=12 src="images/clear.gif" width=1></IMG></TD></TR>
<TR>
<TD width=36>
<P class=step2>1</P></TD>
<TD width="20%">
<P class=p1a>Erstellen einer Anwendungs&uuml;bersicht</P></TD>
<TD>
<UL class=tableitem_unit>
<LI class=tableitem>Ermitteln Sie die Szenarien, die einen Bezug zum Sicherheitsziel haben. Untersuchen Sie jedes Szenario auf M&ouml;glichkeiten zum Missbrauch der Gesch&auml;ftsregeln. &Uuml;berpr&uuml;fen Sie die das Sicherheitsziel betreffenden Szenarien, um potenziell gef&auml;hrdete Bereiche innerhalb dieser Szenarien aufzudecken.</LI>
<LI class=tableitem>Identifizieren Sie spezifische, in der L&ouml;sung verwendete Technologien. Dies hilft Ihnen dabei, sich auf technologiespezifische Bedrohungen zu konzentrieren. Dar&uuml;ber hinaus unterst&uuml;tzt es die Ermittlung der richtigen und geeignetsten Gegenma&szlig;nahmen.</LI>
<LI class=tableitem>Ermitteln Sie die wichtigsten bekannten Punkte bez&uuml;glich Authentifizierung, Autorisierung, Eingabevalidierung, Konfigurationsverwaltung, empfindlichen Daten, Sitzungsverwaltung, Verschl&uuml;sselung, Parametermanipulation, Ausnahmeverwaltung, &Uuml;berwachung und Protokollierung. Ermitteln Sie au&szlig;erdem die relevanten Authentifizierungs- und Autorisierungsbereiche des Produkts.</LI></UL>
<DIV style="MARGIN: -4px 0px 6px"><IMG height=1 src="images/rule1.gif" width="100%"></IMG></DIV></TD></TR>
<TR>
<TD width=36>
<P class=step2>2</P></TD>
<TD width="20%">
<P class=p1a>Partitionieren der Anwendung</P></TD>
<TD>
<UL class=tableitem_unit>
<LI class=tableitem>Identifizieren Sie die Vertrauensgrenzen Ihrer Anwendung. F&uuml;gen Sie dem Diagramm f&uuml;r ein logisches Datencenter neue Zonen hinzu, um diese Grenzen darzustellen. Ber&uuml;cksichtigen Sie bei jedem Subsystem, ob ein Fluss der Upstreamdaten gegeben ist oder ob die Benutzereingabe vertrauensw&uuml;rdig ist. Falls die Benutzereingabe nicht vertrauensw&uuml;rdig ist, sollte die Art und Weise der Authentifizierung und Autorisierung des Datenflusses bedacht werden.</LI>
<LI class=tableitem>Verfolgen Sie die Dateneingaben durch Ihr System vom Einstieg bis zur Beendigung. Identifizieren Sie den Datenfluss zwischen den einzelnen Subsystemen und Komponenten. Beginnen Sie an der obersten Stelle, und partitionieren Sie die Anwendung durch Analyse des Datenflusses zwischen den einzelnen Subsystemen. Verwenden Sie f&uuml;r ein besseres Verst&auml;ndnis der Komponentenstruktur das Systemdiagramm.</LI>
<LI class=tableitem>Die Einstiegspunkte Ihrer L&ouml;sung stellen auch Einstiegspunkte f&uuml;r Angriffe dar. Untersuchen Sie das logische Datencenter, das System und die Anwendungsdiagramme auf Schnittstellen zwischen den Komponenten, die Vertrauensgrenzen &uuml;berschreiten. &Uuml;berdenken Sie die Sicherheitsebenen der verf&uuml;gbar gemachten Einstiegspunkte.</LI>
<LI class=tableitem>Identifizieren Sie die Punkte innerhalb Ihrer Anwendung, an denen Daten an den Client ausgegeben werden. Priorisieren Sie die Beendigungspunkte f&uuml;r die Ausgabe von Daten, einschlie&szlig;lich Daten aus der Clienteingabe und Daten aus nicht vertrauensw&uuml;rdigen Quellen, z.&nbsp;B. aus gemeinsam genutzten Datenbanken.</LI></UL>
<DIV style="MARGIN: -4px 0px 6px"><IMG height=1 src="images/rule1.gif" width="100%"></IMG></DIV></TD></TR>
<TR>
<TD width=36>
<P class=step2>3</P></TD>
<TD width="20%">
<P class=p1a>Identifizieren der Bedrohungen</P></TD>
<TD>
<UL class=tableitem_unit>
<LI class=tableitem>Identifizieren Sie f&uuml;r jede Ressource und jedes Ziel die zugeh&ouml;rigen bereits implementierten Szenarien. Entscheiden Sie mithilfe dieser Szenarien, wie das System benutzt wird bzw. wie es nicht benutzt wird. </LI>
<LI class=tableitem>Ermitteln Sie f&uuml;r jeden Einstiegspunkt M&ouml;glichkeiten f&uuml;r einen Angriff auf eine Ressource. Verwenden Sie die Bedrohungsvorlage zur Dokumentation dieser Bedrohungen. Mit dem STRIDE-Klassifizierungssystem k&ouml;nnen Sie die Auswirkungen und Ziele von Bedrohungen vorhersagen. Das STRIDE-Modell ordnet Bedrohungen in die folgenden Kategorien ein: Spoofing (Vort&auml;uschen), Tampering (Verf&auml;lschen), Repudiation (Nichtanerkennung), Information disclosure (Offenlegung vertraulicher Informationen), Denial of service (Dienstverweigerung) und Elevation of privilege (Ausweitung von Berechtigungen). Eine Bedrohung kann ggf. in mehrere Kategorien eingeordnet werden.</LI>
<LI class=tableitem>Analysieren Sie die Bedrohungen, und legen Sie fest, welche davon gemindert werden sollen. Nicht geminderte Bedrohungen werden zu Schwachstellen oder Dienstqualit&auml;tsanforderungen f&uuml;r die Sicherheit.</LI></UL>
<DIV style="MARGIN: -4px 0px 6px"><IMG height=1 src="images/rule1.gif" width="100%"></IMG></DIV></TD></TR>
<TR>
<TD width=36>
<P class=step2>4</P></TD>
<TD width="20%">
<P class=p1a>Identifizieren der Schwachstellen</P></TD>
<TD>
<UL class=tableitem_unit>
<LI class=tableitem>Vergewissern Sie sich, dass alle Bestandteile des Systems &uuml;berpr&uuml;ft und auf s&auml;mtliche bekannten Bedrohungskategorien untersucht wurden.</LI>
<LI class=tableitem>&Uuml;berpr&uuml;fen Sie neue, ge&auml;nderte oder reaktivierte Bedrohungen gemeinsam mit dem verantwortlichen Wirtschaftsanalytiker. Behandeln Sie jede Bedrohung im entsprechenden Szenariokontext. Er&ouml;rtern Sie m&ouml;gliche Minderungsstrategien.</LI>
<LI class=tableitem>Bedrohungen entwickeln sich st&auml;ndig weiter. Stellen Sie sicher, dass das Bedrohungsmodell in jeder Iteration aktualisiert wird.</LI></UL>
<DIV style="MARGIN: -4px 0px 6px"><IMG height=1 src="images/rule1.gif" width="100%"></IMG></DIV></TD></TR></TBODY></TABLE>
<H1>Beendigungskriterium</H1>
<TABLE cellSpacing=0 cellPadding=0 width="100%" border=0>
<TBODY>
<TR>
<TD width=28><IMG src="images/check.gif"></TD>
<TD>
<P class=p1><B>Die Bedrohungen f&uuml;r die noch in der Entwicklung befindliche L&ouml;sung wurden identifiziert, dokumentiert und eingestuft.</B></P></TD></TR>
<TR>
<TD width=28><IMG src="images/check.gif"></TD>
<TD>
<P class=p1><B>Die Architekten, Entwickler und Tester k&ouml;nnen mithilfe des Bedrohungsmodells effektive und geeignete Gegenma&szlig;nahmen entwerfen, implementieren und testen.</B></P></TD></TR></TBODY></TABLE></DIV></TD><!-- End XSL3 --><!--  END CENTER ************************* -->
<TD background=images/b_right.gif><IMG src="images/b_right.gif"></TD></TR>
<TR>
<TD><IMG src="images/b_bottomleft.gif"></TD>
<TD background=images/b_bottom.gif><IMG src="images/b_bottom.gif"></TD>
<TD><IMG src="images/b_bottomright.gif"></TD></TR></TBODY></TABLE><!-- footer -->
<SCRIPT>doFooter()</SCRIPT>
<IMG height=10 src="images/clear.gif" width=1>
<CENTER>
<P class=p1a><A href="EULA/_EULA.txt">&copy; 2005 Microsoft Corporation. Alle Rechte vorbehalten.</A></P></CENTER>
<CENTER>
<P class=p1a><A href="#">Build 100</A></P></CENTER><IMG height=20 src="images/clear.gif" width=1> <!-- end footer --></TD><!-- endcenter content area --><!-- start right margin -->
<TD width=20><IMG height=1 src="Source/clear.gif" width=12></TD><!-- end left margin --></TR></TBODY></TABLE><!-- end main body table -->
<SCRIPT language=JScript src="Code\Iceberg.js" defer type=text/JScript></SCRIPT>
</BODY></HTML>
